Classement et traçabilité des informations sensibles

La gestion de la classification et de la traçabilité des informations garantit la confidentialité, l'intégrité et la disponibilité des informations sensibles.

L'objectif d'une classification de base des informations est de vous aider à distinguer les informations, à sensibiliser, à éviter les confusions et les malentendus. La classification des informations de base vous permettra d'adapter les mesures de sécurité en fonction du type d'information.

Vous devriez classer l'information, par exemple l'information publique sur le site Web, l'information confidentielle d'usage interne et l'information personnelle connexe. Si vous communiquez cette catégorisation à vos employés, cela vous aidera énormément à les sensibiliser, à éviter la confusion et les malentendus. La classification devrait être utilisée pour lier certaines mesures de sécurité à des types d'information, comme le verrouillage des portes ou le chiffrement d'un document.

En pratique, la classification comporte deux étapes : d'abord, un cadre général de classification est créé, avec des catégories structurées ; ensuite, le niveau de sécurité souhaité par catégorie de données est défini.

Le fait de poser les questions de base peut vous aider à commencer la classicisation des données :

  •  Quels sont mes types de données ?

                    Mes données se trouvent-elles dans une base de données structurée

                   ou la plupart du temps non structurées ?

  • Où se trouvent mes données sensibles ?

                    Sont-elles centralisées ?

                    Sont-elles dispersées dans des emails, des partages de fichiers, des tableurs,...

  • Quels sont les niveaux de classification requis ?

                    A tout le moins, identifiez les données publiques, internes,

                   confidentielles et relatives à la vie privée

  • Qui peut / doit accéder à chaque classe de données ?
  • Comment puis-je protéger mes données et quel est l'impact d'une fuite ?

                    Peut-on protéger correctement les données classifiées ?

TASK

Have a minimal information classification policy and distribute it to all collaborators. The document should at least distinguish information between ‘public’ and ‘private/internal’ equivalent

The document should at least distinguish information between ‘public’ and ‘private/internal’ equivalent